Назад | Перейти на главную страницу

Туннели Mikrotik IPSec не работают после обновления RouterOS

Вчера мы обновили наш RB1100AH2x с 6.19 до 6.22 и при этом потеряли наши туннели L2TP / IPSec. Журналы теперь завалены ошибками IPSec, указывающими

failed to pre-process ph2 packet.

В журнале изменений для 6.21 я заметил, что вы больше не можете использовать пустое значение для группы политик в одноранговой политике. Мы изначально настроили наш туннель таким образом, и я подозреваю, что это причина ошибок.

Может ли кто-нибудь указать мне в правильном направлении, как решить эту проблему?

См. Соответствующую конфигурацию ниже (обратите внимание, что первая запись в одноранговом узле ipsec имеет значение, поэтому меня больше всего беспокоит запись «1».

/ip ipsec peer> print
Flags: X - disabled, D - dynamic 
 0 X  address=xx.xx.xx.xx/32 local-address=0.0.0.0 passive=no 
      port=500 auth-method=pre-shared-key secret="redacted" 
      generate-policy=no policy-template-group=*FFFFFFFF 
      exchange-mode=main send-initial-contact=yes 
      nat-traversal=no proposal-check=obey hash-algorithm=md5 
      enc-algorithm=3des dh-group=modp1024 lifetime=1d 
      lifebytes=0 dpd-interval=disable-dpd dpd-maximum-failures=1 

 1  D address=0.0.0.0/0 local-address=0.0.0.0 passive=yes port=500 
      auth-method=pre-shared-key secret="redacted" 
      generate-policy=port-strict policy-template-group=default 
      exchange-mode=main-l2tp send-initial-contact=yes 
      nat-traversal=yes hash-algorithm=sha1 
      enc-algorithm=3des,aes-128,aes-192,aes-256 
      dh-group=modp1024 lifetime=1d dpd-interval=2m 
      dpd-maximum-failures=5 


/ip ipsec proposal> print
Flags: X - disabled, * - default 
 0  * name="default" auth-algorithms=sha1 
      enc-algorithms=3des,aes-256-cbc lifetime=30m 
      pfs-group=modp1024 

Вам необходимо удалить группу, которая находится в группах IP / ipsec.

Затем на вкладке одноранговых узлов будет указано «неизвестно». После этого должно работать.